Die Zahl der Cyberattacken und Datendiebstähle steigt stetig und bedroht die IT Sicherheit in Unternehmen. Obwohl dieser Umstand in KMU bekannt ist, sind zahlreiche Unternehmen immer noch der Ansicht, dass sie genügend Vorkehrungen getroffen haben, um ihre IT vor Risiken zu schützen. Andere sind der Meinung, dass sie als Unternehmen zu unbedeutend sind, um zur Zielscheibe von Cyberkriminellen zu werden. Mit den folgenden 8 Massnahmen lässt sich die Cyber Security in KMU signifikant stärken.
8 Massnahmen, um die Cyber Security in KMU nachhaltig zu stärken
Massnahme #1: Backup der Daten korrekt ausführen
Werden Daten nicht korrekt gesichert, können diese nach einer versehentlichen Löschung, einem Hardwarefehler oder einem Cyberangriff nicht wiederhergestellt werden. Mittlerweile haben viele KMU Backup-Lösungen implementiert, allerdings ist zu beobachten, dass diese einmalig konfiguriert und danach nicht mehr überprüft werden. Eine Fehlfunktion der Backup-Lösung wird auf diese Weise nicht erkannt.
Um Datenverlust zu vermeiden, müssen sämtliche Unternehmensdaten mindestens täglich gesichert werden. Ebenso ist das erstellte Backup regelmässig auf Vollständigkeit und Korrektheit zu überprüfen. Die Backup-Daten sind vom Unternehmen zudem regelmässig physisch an einem sicheren Ort zu hinterlegen und Vorgängerversionen der Datensicherung sollen über einen gewissen Zeitraum aufbewahrt werden.
Massnahme #2: Mitarbeitende auf das Thema IT Sicherheit sensibilisieren
In vielen Unternehmen wurde es versäumt, bei den Mitarbeitenden das Sicherheitsbewusstsein so zu fördern, dass sie potenzielle IT-Risiken wahrnehmen und einordnen können. Sie sind daher ein beliebtes Ziel für Angreifer. Oft geschieht dies im Unwissen der Nutzer um die von ihnen eingegangenen IT-Risiken und damit ohne Einschätzung der Tragweite ihres Handelns.
Es gilt daher, die Mitarbeitenden als häufigste Nutzer der unternehmensweiten IT mit geeigneten Massnahmen für die Sicherheitsrisiken zu sensibilisieren und ihnen klare Handlungsanweisungen zu vermitteln. Insbesondere soll das Personal regelmässig zu den Verhaltensregeln im Umgang mit IT-Sicherheit geschult werden. Mit einer Clean Desk Policy, einem Regelwerk für das Sicherheitsverhalten am physischen Arbeitsplatz, lassen sich ausserdem die Erwartungen des Unternehmens formalisieren und für das gesamte Personal vereinheitlichen. Im E-Book «Personal als IT-Risikofaktor?» sind die wichtigen Schulungsthemen sowie das detaillierte Beispiel einer Clean Desk Policy zu finden.
Massnahme #3: Firewalls einsetzen, korrekt einstellen und laufend aktualisieren
Firewalls dienen dazu, den Zugriff von Unbefugten auf das Unternehmensnetzwerk und damit Datendiebstahl oder Manipulation zu verhindern. Fehlen diese oder ist ihre Software nicht auf dem neuesten Stand, können Cyberkriminelle auf einfache Weise in die IT-Infrastruktur des Unternehmens eindringen.
Eine wirkungsvolle Firewall muss richtig konfiguriert und ihre Filterregeln zum ein- und ausgehenden Datenverkehr richtig eingestellt sein, damit sie die IT-Sicherheit gewährleistet. Diese Einstellungen sind regelmässig zu überprüfen. Um zu vermeiden, dass Sicherheitslücken ausgenützt werden, muss die Firewall-Software stets mit den aktuellen Updates ausgestattet werden. Zudem soll jeder Computer mit einer Firewall ausgestattet sein und das gesamte Unternehmensnetzwerk ist gegenüber dem Internet mit einer weiteren Firewall zu schützen.
Massnahme #4: Vorgehensweise definieren, wie bei Geräteverlust vorzugehen ist
Mitarbeiter im Aussendienst können Opfer eines Hardware-Diebstahls werden oder es kommt vor, dass sie versehentlich ihr Notebook oder Smartphone beispielsweise im Taxi liegen lassen. Sind Daten ungesichert auf einem abhanden gekommenen Gerät gespeichert, ist die IT Sicherheit des Unternehmens akut gefährdet.
Wenn sensitive Unternehmens- oder Kundeninformationen auf einem portablen Gerät vorhanden sind, müssen die Daten korrekt verschlüsselt sein und gesicherte Remote-Access-Zugriffstools (wie z.B. VPN) im Einsatz sein, die im Fall eines Verlusts aus der Ferne deaktiviert werden können. Um dies flächendeckend zu gewährleisten, ist eine entsprechende Security-Inventarisierung des portablen Geräteparks notwendig, in der die Verschlüsselung protokolliert und der allfällige Zeitpunkt einer Deaktivierung des Netzwerkzugangs festgehalten wird. Zudem ist ein Prozess im Sinne eines Incident Managments festzulegen, der die Vorgehensweise dokumentiert, was Nutzer und IT-Verantwortliche im Falle eines Geräteverlusts vorzukehren haben.
Massnahme #5: IT-Zugriffsrechte strukturiert vergeben
Dürfen Mitarbeitende unkontrolliert Programme auf ihrem Firmencomputer installieren, dann steigt das Risiko, dass nichtlizenzierte Software vom Internet oder von einem USB-Stick ins firmeneigene Netzwerk gelangt. Damit erhöht sich die Wahrscheinlichkeit, dass gleichzeitig Schadprogramme automatisch installiert werden, welche Unternehmensdaten stehlen oder verschlüsseln (Ransomware). Hinter harmlos wirkenden, kostenfreien Softwareangeboten verbergen sich oft heimtückische Malware-Programme , die immer wieder auch als Antivirus-Software getarnt sind.
Um den Download schädlicher Software zu vermeiden, sollen Mitarbeitende nur so viele IT-Zugriffsrechte erhalten, wie sie für die Ausführung der ihnen zugewiesenen Arbeit absolut erforderlich sind (Least-Privilege-Prinzip). Administratorenrechte sollen ausschliesslich wenigen Personen der IT-Abteilung oder des externen IT-Partners zugewiesen werden. Ein konsequent umgesetztes Least-Privilege-Prinzip gilt als eine der wirkungsvollen Grundlagen, um in Unternehmen IT-Gefahren abzuwenden.
Massnahme #6: Passwort-Richtlinien definieren und technisch umsetzen
Obwohl es heute hinreichend bekannt sein sollte, Passwörter mit hohen Sicherheitseigenschaften einzusetzen, wählen Nutzer immer noch einfach zu erratende Zeichenfolgen für ihre Zugangsdaten. Unter den meist verwendeten Passwörtern finden sich einfach zu erratende Kombinationen, wie «123456», «hallo», «passwort», «hallo123» oder Zeichenkombinationen wie «qwertz», gemäss der Tastenreihenfolge auf der Computertastatur. Bei diesen einfach vorhersehbaren Passwörtern, ist es für Cyberkriminelle ein leichtes Spiel, in ein Computersystem einzudringen.
Um dieses Risiko zu umgehen ist es wichtig, Passwort-Richtlinien zu definieren und diese technisch umzusetzen – dazu gehört beispielsweise eine Passwortlänge von mindestens 12, besser 20 Zeichen. Als sichere Passwörter gelten ganze Sätze mit mehreren Wörtern, die Ausdruck eines Fantasiebilds des Nutzers sind und gleichzeitig keine Beziehung zu seinem Umfeld haben. Etwa «Drei Elefanten tanzen im Schnee». Ausserdem ist es sinnvoll, eine Login-Benachrichtigung zu aktivieren. Diese informiert via SMS oder E-Mail, wenn sich jemand auf einem Fremdgerät mit dem eigenen Nutzernamen Zugriff verschafft.
Massnahme #7: Leistungsfähiger Virenschutz installieren und laufend aktualisieren
Insbesondere in kleineren Betrieben kommt es oft vor, dass Virenschutzprogramme fehlen oder bereits installierte Virenschutzsoftware aufgrund ihres Alters nicht für die aktuellen Bedrohungen ausgelegt ist. Auf diese Weise ist es für Cyberkriminelle ein Leichtes, in das firmeneigene Netzwerk einzudringen und entsprechende Schadprogramme zu platzieren
Damit Gefahren sicher und sofort abgewehrt werden können, ist es für ein Unternehmen entscheidend, dass die eingesetzten Antivirus-Programme von vertrauenswürdigen Herstellern stammen und die Virenschutzlösungen laufend auf ihre Wirksamkeit überprüft werden. Auch muss Virenschutzsoftware auf jedem Computer installiert sein und unmittelbar nach Erscheinen von neuen Sicherheitsupdates aktualisiert werden.
Massnahme #8: Sämtliche Software laufend aktualisieren
Unternehmen, die veraltete Software einsetzen oder Sicherheitsaktualisierungen nicht sofort nach deren Erscheinen vornehmen, öffnen Tür und Tor für Schadsoftware, Virenbefall und Datenverlust.
Um diese Schwachstelle zu schliessen, müssen die Einstellungen so konfiguriert sein, dass sämtliche Computer und Server aktuelle Sicherheitsupdates sofort automatisch einspielen und Drittsoftware ebenfalls umgehend mit den neuesten Aktualisierungen versehen wird.
Managed IT Services
KMU verfügen oft über knapp bemessene Personalressourcen oder es fehlt genügend IT-Expertise, um sichere IT-Prozesse und wirksame Sicherheitskonzepte zu erstellen sowie Warnhinweise richtig zu interpretieren – mit entsprechenden negativen Folgen für die IT-Sicherheit.
Um in einem kleinen oder mittleren Unternehmen die IT Sicherheit zu stärken und damit die Daten- und Betriebssicherheit wirkungsvoll zu schützen, lohnt sich die Zusammenarbeit mit einem kompetenten IT-Partner. Auf Managed IT Services spezialisierte IT-Dienstleister können Risiken auf ein Minimum reduzieren. Sie erstellen ein wirkungsvolles Sicherheitskonzept, setzen es um, überwachen mit einem massgeschneiderten Präventionsprogramm laufend die Unternehmensweite IT (Monitoring), sichern die Daten systematisch und halten Software sowie Schutzprogramme permanent auf dem neuesten Stand. So werden Angriffe auf die Integrität der Unternehmensdaten rund um die Uhr abgewehrt und die Betriebssicherheit der IT-Infrastruktur gewährleistet. Die Unternehmensführung wird entlastet und kann sich den geschäftsrelevanten Themen zuwenden.
Titelbild: Shutterstock